Kısa bir aradan sonra NSX'e dönüyoruz. Bugün size NAT ve Güvenlik Duvarını nasıl yapılandıracağınızı göstereceğim.
Sekmesinde Yönetim sanal veri merkezinize gidin – Bulut Kaynakları – Sanal Veri Merkezleri.
Bir sekme seçin Kenar ağ geçitleri ve istediğiniz NSX Edge'e sağ tıklayın. Görünen menüde seçeneği seçin Kenar Ağ Geçidi Hizmetleri. NSX Edge Kontrol Paneli ayrı bir sekmede açılacaktır.
Güvenlik Duvarı kurallarını ayarlama
Öğede varsayılan olarak giriş trafiği için varsayılan kural Reddet seçeneği seçilidir, yani Güvenlik Duvarı tüm trafiği engelleyecektir.
Yeni bir kural eklemek için +'ya tıklayın. Adıyla birlikte yeni bir giriş görünecek Yeni kural. Alanlarını gereksinimlerinize göre düzenleyin.
In Name kurala bir ad verin, örneğin İnternet.
In Kaynak Gerekli kaynak adreslerini girin. IP düğmesini kullanarak tek bir IP adresi, bir dizi IP adresi, CIDR ayarlayabilirsiniz.
+ düğmesini kullanarak diğer nesneleri belirleyebilirsiniz:
- Ağ geçidi arayüzleri. Tüm dahili ağlar (Dahili), tüm harici ağlar (Harici) veya Herhangi biri.
- Sanal makineler. Kuralları belirli bir sanal makineye bağlarız.
- OrgVdcNetworks. Organizasyon düzeyinde ağlar.
- IP Setleri. IP adreslerinden oluşan önceden oluşturulmuş bir kullanıcı grubu (Gruplandırma nesnesinde oluşturulmuştur).
In Varış yeri alıcının adresini belirtin. Buradaki seçenekler Kaynak alanındakilerle aynıdır.
In Hizmet hedef bağlantı noktasını (Hedef Bağlantı Noktası), gerekli protokolü (Protokol) ve gönderen bağlantı noktasını (Kaynak Bağlantı Noktası) seçebilir veya manuel olarak belirleyebilirsiniz. Tut'u tıklayın.
In Action gerekli eylemi seçin: bu kuralla eşleşen trafiğe izin verin veya reddedin.
Girilen konfigürasyonu seçerek uygulayın Değişiklikleri Kaydet.
Kural örnekleri
Güvenlik Duvarı için Kural 1 (İnternet) IP 192.168.1.10'a sahip bir sunucuya herhangi bir protokol aracılığıyla İnternet'e erişim sağlar.
Güvenlik Duvarı için Kural 2 (Web sunucusu) (TCP protokolü, bağlantı noktası 80) aracılığıyla harici adresiniz aracılığıyla İnternet'ten erişime izin verir. Bu durumda - 185.148.83.16:80.
NAT kurulumu
NAT (Ağ Adresi Çevirisi) – özel (gri) IP adreslerinin harici (beyaz) IP adreslerine çevrilmesi veya bunun tersi. Bu işlem sayesinde sanal makine internete erişim kazanır. Bu mekanizmayı yapılandırmak için SNAT ve DNAT kurallarını yapılandırmanız gerekir.
Önemli! NAT yalnızca Güvenlik Duvarı etkinleştirildiğinde ve uygun izin verme kuralları yapılandırıldığında çalışır.
Bir SNAT kuralı oluşturun. SNAT (Kaynak Ağ Adresi Çevirisi), özü bir paket gönderilirken kaynak adresini değiştirmek olan bir mekanizmadır.
Öncelikle, kullanabileceğimiz harici IP adresini veya IP adresi aralığını bulmamız gerekiyor. Bunu yapmak için bölüme gidin Yönetim ve sanal veri merkezine çift tıklayın. Görünen ayarlar menüsünde sekmeye gidin Kenar Ağ GeçidiS. İstediğiniz NSX Edge'i seçin ve üzerine sağ tıklayın. Bir seçenek seçin Emlaklar.
Açılan pencerede sekmede IP Havuzlarını Alt Tahsis Etme harici IP adresini veya IP adresi aralığını görüntüleyebilirsiniz. Bir yere yazın veya hatırlayın.
Daha sonra NSX Edge'e sağ tıklayın. Görünen menüde seçeneği seçin Kenar Ağ Geçidi Hizmetleri. Ve NSX Edge kontrol paneline geri döndük.
Görünen pencerede NAT sekmesini açın ve SNAT Ekle'ye tıklayın.
Yeni pencerede şunları belirtiyoruz:
- Uygulandığı yer alanında – harici bir ağ (kurum düzeyinde bir ağ değil!);
- Orijinal Kaynak IP'si/aralığı – dahili adres aralığı, örneğin, 192.168.1.0/24;
- Çevrilmiş Kaynak IP/aralığı – İnternet'e erişilecek olan ve Alt Tahsis IP Havuzları sekmesinde baktığınız harici adres.
Sakla'yı tıklayın.
Bir DNAT kuralı oluşturun. DNAT, bir paketin hedef adresini ve hedef portunu değiştiren bir mekanizmadır. Gelen paketleri harici bir adresten/bağlantı noktasından özel bir ağ içindeki özel bir IP adresine/bağlantı noktasına yönlendirmek için kullanılır.
NAT sekmesini seçin ve DNAT Ekle'ye tıklayın.
Görünen pencerede şunları belirtin:
— Uygulandığı yer alanında – harici bir ağ (kuruluş düzeyinde bir ağ değil!);
— Orijinal IP/aralık – harici adres (Alt Tahsis IP Havuzları sekmesindeki adres);
— Protokol – protokol;
— Orijinal Bağlantı Noktası – harici adres için bağlantı noktası;
— Çevrilmiş IP/aralık – dahili IP adresi, örneğin, 192.168.1.10
— Çevrilmiş Bağlantı Noktası – harici adresin bağlantı noktasının çevrileceği dahili adresin bağlantı noktası.
Sakla'yı tıklayın.
Girilen konfigürasyonu seçerek uygulayın Değişiklikleri Kaydet.
Bitti.
Sırada DHCP Bağlantıları ve Rölesinin ayarlanması da dahil olmak üzere DHCP ile ilgili talimatlar yer almaktadır.
Kaynak: habr.com